No tienes acceso a esta clase

隆Contin煤a aprendiendo! 脷nete y comienza a potenciar tu carrera

Ingenieria social

15/37
Recursos

Aportes 24

Preguntas 1

Ordenar por:

驴Quieres ver m谩s aportes, preguntas y respuestas de la comunidad?

o inicia sesi贸n.

Ingenier铆a social

Es el conjunto de interacciones y t茅cnicas utilizadas por los ciberdelincuentes para manipular psicol贸gicamente a las personas y lograr as铆 un ataque.

La forma de operar puede describirse como un ciclo de vida de tres etapas:

  1. Investigaci贸n: Conocer a la v铆ctima y sus h谩bitos.

    • Identificar a la v铆ctima.
    • Capturar su informaci贸n.
    • Definir un m茅todo de ataque.
  2. Enganche (Hook): Llama la atenci贸n de la v铆ctima para establecer contacto.

    • Enlazar con la victima, iniciar la interacci贸n ofreciendo algo de su inter茅s para generar motivaci贸n.
    • Control de interacci贸n
  3. Ejecuci贸n (Play): Realizar el ataque.

    • Teniendo la atenci贸n de la victima, ejecutar el ataque.
    • Usando vocabulario adecuado, t茅cnicas psicol贸gicas y con convicci贸n, obtener la informaci贸n que se busca. (pistas para descubrir contrase帽as, datos de tarjetas de cr茅dito, etc).
  4. Eliminaci贸n de huellas (Exit): Luego de atacar, eliminar las huellas para no ser detectado.

    • Finalizar la interacci贸n.
    • Eliminar evidencias.

##Ingenier铆a social: Interacciones y tecnicas de manipulaci贸n psicol贸gica para enga帽ar a las victimas

###Ciclo de vida:

  • Investigaci贸n:
    掳 Identificaci贸n de v铆ctima
    掳 Captura de informaci贸n
    掳 M茅todo de ataque

  • Hook (enganche):
    掳 Enlaza con la victima quiz谩 con ofertas o algo llamativo
    掳 Control de interacci贸n

  • Play:
    掳 Tengo la atenci贸n de la victima y ejecuto mi ataque
    掳 Obtengo informcai贸n por medio de ingenier铆a social y tecnicas psicol贸gicas

  • Exit (Eliminar huellas):
    掳 Cierre de interacci贸n
    掳 Eliminaci贸n de evidencia

Ante cualquier amenaza usa siempre el sentido com煤n

La ingenier铆a social est谩 muy ligada al phishing y al vishing, aunque ciertamente no solo se reduce a ello. Digamos que la ingenier铆a social est谩 m谩s relacionada al contenido de la estrategia y las dem谩s al m茅todo utilizado.

Mi caso
una vez recib铆 un correo de la Fiscal铆a solicit谩ndome comparecer para una investigaci贸n, cuando abr铆 el correo me di cuenta que 茅l remitente no era un correo oficial y ten铆a algunos errores ortogr谩ficos. As铆 que hice caso omiso y ahora estoy preso.

je, je, es broma, pero lo que s铆 es cierto es que se saben armar un buen escenario en donde el car谩cter de urgencia y el miedo son indispensables.

Una vez fui victima de un ataque de ingenieria social y realmente el trabajo que realizan para validar tu desconocimiento es muy fuerte, y usan esto para crear una confianza entre 鈥渦suario y cliente鈥 y completar as铆 su cometido, desafortunadamente yo me di cuenta tarde, pero esa experiencia me motivo para mejorar mi cultura de ciberseguridad.
La reflexi贸n del final es clara desconfiemos siempre de todas las transacciones e interacciones que tenemos con personas desconocidas y mas aun si esto sucede en un ambiente virtual.

Un d铆a me llego un SMS indicando que estaban intentando comprar criptomonedas por un valor x desde mi aplicacion bancaria, que si no era yo que ingresara al LINK del mensaje. Hice click en el enlace, yo ya estaba prevenido porque habia escuchhado de esta modalidad, el link me llevo a una pagina casi identica en la presentacion a la de mi entidad bancaria , pero con una diferencia casi imperceptible y era que en direccion de la WEB donde lo diriga el link habia un cero antes del nombre de la pagina. En esta pagina le indicaban que era necesario ingresar usuario y contrase帽a para validar que no era yo el que realizaba la transaccion. Innmediatamente capture el recorte de la pagina y del mensaje que me habia llegado y me dirigi a la estacion de policia para hacer la denuncia, pero desafortunadamente me dijeron que no estaba la persona que recibia las denuncias por delitos informaticos que si podia regresar en la jornada de la tarde a las 3 pm.
Yo creo que por eso los ciberdelincuentes la tienen tan facil, por que la justicia no esta preparada para hacerles frente.

Me parece muy interesante este curso y los conceptos base, ya que muchos usuarios / empresas cuando les llegan una clase de estos correos maliciosos como el de 鈥淔ELICIDADES, Te has ganado un iphone鈥 hacen todo lo que el atacante dice, gracias por la informacion!

Ciber-Controles

  • Validaci贸n de origen: Descartar correos o contactos de dudosa procedencia.

  • 2FA o MFA: Fortalecer cuentas con doble o m煤ltiple factor de autenticaci贸n ya que agrega un factor mas (independiente de usuario o contrase帽a) recibiendo un token por ejemplo de una aplicaci贸n como google autenticator.

  • Cultura en Ciberseguridad: Utilizar el sentido com煤n y tener claro que 鈥渘o todo lo que brilla es oro鈥.

El ciclo de vida

Gracias profe por explicar muy bien la ing social.

El factor que se utiliza en este m茅todo, es el convencimiento, reforzado con material creado adrede para ser m谩s cre铆ble, y hasta utilizando la ignorancia de la v铆ctima. Aprenderemos a trav茅s de esta unidad, varias t茅cnicas que tendremos que tener en cuenta para no precipitarse y entregar nuestros datos importantes en bandeja, tanto por querer 鈥渁yudar鈥, 鈥渃ooperar鈥 y 鈥渃olaborar鈥. Nadie dice que sea malo, pero una de las mejores contramedidas para no ser v铆ctima de este tipo de t茅cnica, es ESTAR ATENTOS. Infosecurity Europe llevo a cabo una encuesta a trabajadores de oficinas en Londres, donde en un art铆culo publicado por ZDNet el 20 de abril de 2004, el estudio descubri贸 que las tres cuartas partes de los trabajadores encuestados est谩n dispuestos a revelar su contrase帽a de acceso a la red a cambio de una barra de chocolate. Esto demuestra lo f谩cil que es acceder a las redes sin tocar una sola pieza. Al final del d铆a, no importa cu谩nto de encriptaci贸n y tecnolog铆a de seguridad se haya puesto en pr谩ctica, una red nunca es completamente segura. Uno nunca puede deshacerse del eslab贸n m谩s d茅bil, el factor humano. No importa la tecnolog铆a utilizada como firewalls, redes privadas virtuales (VPN), o dispositivos de encriptaci贸n, si los empleados est谩n dispuestos a dar acceso a los sistemas a cualquier persona que lo solicite.

驴Qu茅 es la ingenier铆a social?
Es una t茅cnica para disponer y obtener acceso a informaci贸n vital, privilegiada y confidencial y/o recursos que podr铆an servir para un ataque diferente. Su mayor 茅xito se basa en la parte humana, a trav茅s del uso de factores como enga帽os,
persuasi贸n e influencia. Suelen ser utilizados desde cualquier parte (local, remota), y con cualquier tecnolog铆a de uso (tel茅fono, celular, email, papel, etc). Puede estar dirigido a:
鈥 Una organizaci贸n objetivo
鈥 A un determinado empleado/a
鈥 A un determinado grupo de personas
鈥 A un usuario en general
鈥 Todo aquel que se encuentre relacionado con 茅stos.
El contacto realizado es hecho supuestamente por:
飪 Prestador/a de servicios.
飪 Conocido/a, amigo/a o pariente de alguien.
飪 Autoridad.
飪 Colega de otro sector o sucursal.
飪 An贸nimo.
飪 Impersonalizado.
En tipo de modo:
Casualidad
Directo: consulta inocente y t铆pica, firmar entrega de regalo, encuesta, completar planillas, etc茅tera.
Indirecto: involucrar a terceros ficticios o reales sin conocimiento.
Trampa directa e indirecta: env铆o de correo con material en DVD, suplantaci贸n de pendrive, etc茅tera.
Invasivo: acceso a recintos, irrupci贸n dentro de oficina con o sin utilizaci贸n de lockpicking, instalaci贸n de hardware esp铆a (recolector o transmisor de datos, uso de Keylogger)
A trav茅s de los medios:
Cara a cara con protagonista: Mediante di谩logo.
De car谩cter secundario: Como empleado de correo o cadeter铆a.
E-mail: Todas las formas imaginables, algunas detalladas m谩s adelante.
Tel茅fono, impersonal: Di谩logo.
Fax: Enviando documentos con requerimientos de modificaci贸n de datos o con informaci贸n sensible.
Medios y agentes combinados: el intruso env铆a un e-mail de un supuesto superior de una sucursal, avisando a la recepcionista de otra sucursal que en unos momentos va a pasar alguien a recoger un dato o determinada informaci贸n para que se la tenga preparada.
Fin del acto:
Informaci贸n: busca peque帽as pistas o datos para planificar el embate.
Acciones: busca generar determinadas acciones.
En una Prueba de Intrusi贸n (Pentest) a menudo se pide realizar precisamente esto, emplear t谩cticas de ingenier铆a social para descubrir si los empleados est谩n siguiendo las pol铆ticas internas y no revelar informaci贸n sensible. Un ingeniero social es alguien que utiliza el enga帽o, la persuasi贸n, y la influencia para obtener informaci贸n que de otro modo no estar谩 disponible. Existen dos tipos de ingenier铆a social:
鈥 Basadas en la tecnolog铆a
鈥 Basadas en Humanos
La ingenier铆a social basada en la tecnolog铆a, utiliza la tecnolog铆a para enga帽ar a los usuarios en dar informaci贸n sensible. Un ejemplo cl谩sico de una tecnolog铆a basada en ataque es tener una ventana emergente en la computadora de un usuario y pedir su contrase帽a, como se demuestra en el ejemplo. Aqu铆 el usuario es informado de que su sesi贸n ha finalizado, y se le pedir谩 que introduzca su nombre de usuario y contrase帽a nuevamente. Despu茅s de que el usuario hace clic en el bot贸n Enviar, el nombre de usuario y contrase帽a son enviadas al ordenador del intruso. El intruso puede utilizar esa informaci贸n m谩s adelante para acceder a la red de la v铆ctima. En cambio, la ingenier铆a social basada en humanos no emplea la tecnolog铆a, sino que se hace en persona, o a trav茅s de una llamada telef贸nica. Ambas t茅cnicas se basan en el comportamiento previsible del ser humano que quiere ayudar a otro ser humano. A trav茅s de una llamada por tel茅fono, un intruso podr铆a solicitar directamente un usuario y una clave, previo reconocimiento y de acuerdo al escenario que tenga en el destino, de esa manera habr铆a una posibilidad de que se lo pasen sin ning煤n inconveniente.

Una vez me enviaron un mensaje en telegram para invertir en criptomonedas, se presentaron como una empresa especialista en trading. Me enviaron todos sus brochure muy bien dise帽ados. Quer铆an que invierta y que realizara el pago por paypal. Pero sin sabes que esta aplicando la validaci贸n de origen, googlee el n煤mero y la empresa y ya hab铆a reportes de personas estafadas.

Los ataques en el 谩rea financiera son un riesgo alto , en corto tiempo las personas dieron el salto a la billetera digital , por esta raz贸n a煤n existen muchas personas clientes de la banca que no est谩n familiarizados con la era digital y reciben correos con logos similares al de su entidad financiera y entregan su informaci贸n sin validar el origen del correo electr贸nico . Grave error
Afortunadamente no fuimos victimas por que actuamos tal como lo describe, hicimos caso omiso a la amenaza y realizamos una actualizaci贸n de seguridad y limpieza de computadores y dispositivos.
Profesor viendo esta clase no puedo dejar de pensar en "Worldcoin: la nueva criptomoneda escanea el iris de sus usuarios" Como incentivan a la gente con "dinero" en forma de una nueva criptomoneda para sacarles toda la informaci贸n. Me gustar铆a saber su opini贸n personal con respecto a esta noticia del noticiero DW. Fuente: <https://www.youtube.com/watch?v=8wEhQkwwlV0&ab_channel=DWEspa%C3%B1ol>

Uno de mis correos se filtro quien sabe como y me llegan estos mail casi que a diario, son bastantes creativos algunos

Me gusta saber el detalle de este contenido.

yo como tal no he sido victima de ingenieria social pero a mi novia le mandaron un mail que pedian creo que eran 1000 dolares en btc y si no los pagaba iban a publicar sus fotos intimas.
parecia un mail generico y estaba redactado con un espa帽ol muy basico. acto seguido se fue al trash can

Ingenier铆a social

Interacciones y t茅cnicas utilizadas por ciberdelincuentes para ejecutar delitos. Utiliza manipulaci贸n psicol贸gica motivada por gustos o tendencias.

Ciclo de vida

  1. Investigaci贸n: Identifican a la v铆ctima, la perfila, capturan informaci贸n, planean el ataque
  2. Hook: El enganche. Realizan un enlace exitoso con la v铆ctima
  3. Play (Ejecuci贸n): ejecutan el ataque y obtienen informaci贸n.
  4. Exit: Cierre de interacci贸n, eliminan la evidencia. (Eliminar huellas).

Ciber-controles

  1. Validaci贸n de origen: Validar el origen de los correos, mensajes o contactos de dudosa procedencia
  2. 2FA o MFA: Fortalecer cuentas con doble o m煤ltiple factor de autenticaci贸n

Ingenier铆a Social: Consiste en el uso de t茅cnicas psicol贸gicas y habilidades sociales con el fin de manipular a una persona para que realice acciones espec铆ficas y lograr as铆 una meta o beneficio. Enga帽an a los usuarios para obtener datos privados y confidenciales como fecha de nacimiento, direcci贸n, contrase帽as o informaci贸n financiera, adem谩s, es usada para infectar los equipos inform谩ticos con Malware y otros virus que ponen en riesgo la informaci贸n.

Algunos de los ciberataques m谩s comunes con el uso de esta t茅cnica son:

  1. Phishing: La v铆ctima recibe un correo electr贸nico procedente de una fuente aparentemente confiable. Es usado para suplir la identidad de organizaciones como bancos y transmitir mensajes de urgencia para que la v铆ctima act煤e r谩pido, sin sentarse a analizar la veracidad del mensaje.
  2. Spear phishing: Aqu铆 los ciberdelincuentes se dirigen a empresas y personas espec铆ficas como gerentes, grandes empresarios o personas p煤blicas.
  3. Vishing: Es de la l铆nea del phishing, pero en este ataque los cibercriminales utilizan llamadas y mensajes de voz para hacer caer a las v铆ctimas.
  4. Scareware: Es un Malware con el que los cibercriminales asustan a los usuarios para que visiten un sitio web infectado. El Scareware aparece principalmente en ventanas emergentes en las que se comunica c贸mo se puede eliminar un virus inform谩tico que aparentemente existe en el dispositivo.

Medidas para prevenir ataques con ingenier铆a social

  1. Tener cuidado con la informaci贸n personal que se comparte.
  2. Ajustar la configuraci贸n del correo electr贸nico para evitar recibir correos que son spam.
  3. Tener una lista con los correos electr贸nicos leg铆timos de personas y organizaciones con las que se tiene relaci贸n.
  4. Desconfiar y dudar de los correos electr贸nicos y mensajes de texto en los que ofrecen una gran recompensa por una peque帽a inversi贸n.
  5. Si hay duda de la veracidad de un mensaje o el remitente es desconocido, verificar la informaci贸n con una b煤squeda r谩pida en internet o llamando a la entidad que supuestamente se est谩 contactando.
  6. Tener pol铆ticas de seguridad estrictas para minimizar los riesgos y las posibilidades de ser atacadas, por ejemplo, pol铆tica de contrase帽as seguras.
  7. Fortalecer cuentas con doble o m煤ltiple factor de autenticidad (2FA o MFA).

Ingenier铆a social, ciberataques m谩s comunes y c贸mo prevenirlos
https://www.piranirisk.com/es/blog/ingenieria-social-ciberataques-y-prevencion?hs_amp=true&utm_term=&utm_campaign=Matriz+de+Riesgos+-+General+-+Julio+2022&utm_source=adwords&utm_medium=ppc&hsa_acc=9508207643&hsa_cam=17802451156&hsa_grp=138377008319&hsa_ad=611541611264&hsa_src=g&hsa_tgt=dsa-19959388920&hsa_kw=&hsa_mt=&hsa_net=adwords&hsa_ver=3&gad=1&gclid=Cj0KCQjwj_ajBhCqARIsAA37s0wfhp9p9HSH62ci-j-7InIsLStekJUsQGjtdaUXRYRnjGs3dAAfUpoaAlLoEALw_wcB

La ingenier铆a social es un conjunto de t茅cnicas utilizadas por ciberdelincuentes para ejecutar delitos mediante la manipulaci贸n psicol贸gica de las v铆ctimas. El ciclo de vida incluye la investigaci贸n, el enganche y la ejecuci贸n del ataque, seguido del cierre de la interacci贸n y la eliminaci贸n de evidencia. Para prevenir la ingenier铆a social, es importante validar el origen de los correos o contactos, fortalecer las cuentas con autenticaci贸n de doble o m煤ltiple factor y fomentar una cultura de ciberseguridad basada en el sentido com煤n.

Buena Explicacion